MASWE-0069: WebView 允许访问本地资源

Beta 版内容

此内容处于 beta 版，仍在积极开发中，因此随时可能发生变化（例如结构、ID、内容、URL 等）。

发送反馈

占位符漏洞

此漏洞尚未创建，它是一个占位符。但您可以查看其状态或自行开始处理。如果此问题尚未分配，您可以请求分配给自己，并按照我们的指南提交包含该漏洞新内容的拉取请求 (PR)。

查看 MASWE-0069 的 GitHub Issue

初始描述或提示

使用 setAllowFileAccessFromFileURLs。缓解措施包括 setAllowFileAccess(false), setAllowContentAccess(false)

相关主题

• 通用文件访问
• 限制内容访问
• 处理程序，例如 file:// 对比 content://

MASTG v1 覆盖范围

• MASTG-TEST-0032 - 测试 WebView 协议处理程序 (安卓)
• MASTG-TEST-0077 - 测试 WebView 协议处理程序 (iOS)

测试

MASTG-TEST-0251: WebView 中内容提供程序访问 API 的运行时使用 MASTG-TEST-0253: WebView 中本地文件访问 API 的运行时使用 MASTG-TEST-0252: WebView 中本地文件访问的引用 MASTG-TEST-0250: WebView 中内容提供程序访问的引用